Politique de divulgation responsable

Comment nous contacter

security@theprogressfactory.fr

Merci d'inclure dans votre message :

• une description claire de la vulnérabilité ;
• les étapes pour la reproduire (URL, payload, capture) ;
• l'impact estimé (lecture/écriture de données, compromission de compte, etc.) ;
• vos coordonnées si vous souhaitez être recontacté.

Délais de réponse

• Accusé de réception : sous 72 h ouvrées.
• Évaluation initiale : sous 7 jours.
• Correctif : selon la gravité (≤ 30 jours pour les failles critiques).

Périmètre

Les domaines suivants sont dans le périmètre :

• store.theprogressfactory.fr
• *.theprogressfactory.fr (production)

Hors périmètre :

• les environnements de preview Lovable (id-preview--*.lovable.app) ;
• les services tiers (Supabase, Cloudflare) — à signaler directement à leur éditeur ;
• les attaques nécessitant un accès physique à un poste utilisateur déjà compromis.

Engagement mutuel

De notre côté, nous nous engageons à :

• répondre rapidement et publier un correctif dans des délais raisonnables ;
• ne pas engager de poursuites contre les chercheurs respectant cette politique ;
• vous mentionner publiquement (avec votre accord) après résolution.

De votre côté, nous vous demandons de :

• ne pas exfiltrer ni rendre publiques des données utilisateur ;
• ne pas dégrader le service (DoS, spam massif…) ;
• respecter un délai de divulgation coordonnée (≥ 90 jours après notre accusé de réception).

Référence machine : /.well-known/security.txt (RFC 9116).